디스코드: 공격자가 약 7만 명의 사용자 신분증 사진에 접근
제3자 공급업체 침해로 사용자 데이터 노출
디스코드는 최근 승인되지 않은 당사자가 자사의 제3자 고객 서비스 제공업체인 5CA를 침해하여 약 7만 명의 사용자 정부 발급 신분증 사진이 노출되었다고 밝혔습니다. 2025년 9월 20일에 발생한 이 침해 사고는 연령 확인 및 지원 이의 제기에 사용되는 공급업체를 대상으로 했습니다. 디스코드는 자사 플랫폼이 침해되지 않았으며 공격이 제3자 제공업체에 집중되었다고 신속히 설명했습니다. 사고 발견 직후 디스코드는 공급업체의 티켓 시스템 접근을 차단하고 내부 조사를 시작했으며 법 집행 기관에 연락했습니다. 회사는 영향을 받은 사용자에게 이메일을 보내고 있으며 공식 통신은 noreply@discord.com에서만 발송됩니다.
어떤 데이터에 접근했나?
노출된 데이터는 고객 서비스 시스템에서 처리된 정보로 제한됩니다. 여기에는 이름, 디스코드 사용자 이름, 이메일 주소 및 지원팀에 제공된 기타 연락처 정보가 포함됩니다. 또한 제한된 청구 정보(결제 유형, 신용카드 번호 마지막 네 자리, 구매 내역 등)에 접근했을 수 있습니다. 고객 서비스 상담원과 주고받은 IP 주소 및 메시지 내용도 노출되었습니다. 가장 중요하게는 소수의 정부 발급 신분증 이미지(운전면허증, 여권 등)가 유출되었습니다. 디스코드는 전체 신용카드 번호, CVV 코드, 비밀번호 또는 지원 상호작용 외 사용자 활동은 포함되지 않았다고 강조했습니다.
사용자 및 연령 확인에 미치는 영향
영향을 받은 사용자는 주로 디스코드 고객 지원팀 또는 신뢰 및 안전팀에 연락한 사람들, 특히 연령 관련 이의 제기를 한 사람들입니다. 규정을 준수하기 위해 디스코드는 사용자가 정부 발급 신분증을 업로드하여 연령을 확인하도록 요구합니다. 5CA와 같은 제3자 공급업체에 아웃소싱된 이 프로세스가 침해의 경로를 만들었습니다. 공격자는 약 7만 명의 사용자 신분증 사진에 접근했으며, 여기에는 전체 이름, 생년월일, 실제 주소와 같은 민감한 개인 정보가 포함됩니다. 이는 유출된 데이터가 신원 도용이나 스토킹에 사용될 수 있으므로 심각한 개인정보 보호 문제를 제기합니다. 디스코드는 영향을 받은 사용자에게 자신의 신분증이 접근되었는지 여부를 상세히 알리는 이메일을 보낼 것이라고 명시했습니다.
디스코드의 대응 및 보안 조치
디스코드는 제3자 제공업체의 접근을 차단하고 선도적인 컴퓨터 포렌식 회사를 고용하며 관련 데이터 보호 당국에 통보하는 등 신속하게 대응했습니다. 회사는 몸값 요구가 포함된 공격을 조사하기 위해 법 집행 기관과 긴밀히 협력하고 있습니다. 디스코드는 불법 행위라며 몸값을 지불하지 않을 것이라고 밝혔습니다. 앞으로 디스코드는 제3자 시스템을 더 자주 감사하여 보안 및 개인정보 보호 기준을 충족하는지 확인할 계획입니다. 또한 모든 사용자가 침해와 관련된 피싱 시도의 일부일 수 있는 의심스러운 메시지나 통신에 주의를 기울일 것을 권장합니다.
공식 통신 채널
디스코드는 noreply@discord.com의 이메일을 통해서만 영향을 받은 사용자에게 연락할 것이라고 경고했습니다. 사용자는 침해에 관한 것이라고 주장하는 다른 주소의 전화나 이메일에 주의해야 합니다. 회사는 침해된 공급업체의 신원을 공개하지 않았지만, 보고서에 따르면 영국 기반 고객 서비스 회사인 5CA인 것으로 확인되었습니다. Zendesk와 같은 다른 제3자 제공업체는 자사 시스템이 관련되지 않았다고 밝혔습니다.
커뮤니티 및 전문가 반응
이 침해 사고는 디스코드의 2억 명 사용자 사이에서 광범위한 논의를 촉발했으며, 많은 사람들이 민감한 신분증 데이터 처리에 대한 우려를 표명했습니다. 일부 온라인 평론가들은 침해가 공개된 것보다 더 광범위할 수 있다고 제안했지만, 디스코드는 이러한 주장을 부인하며 갈취 시도에 의한 것이라고 밝혔습니다. 보안 전문가들은 이 사건이 연령 확인을 제3자에 아웃소싱하는 위험을 강조한다고 지적합니다. 텔레그램 채널에 침해로 추정되는 100개 이상의 신분증 이미지가 유출된 것은 신원 노출의 현실적 위험을 강조합니다. DMCA 또는 연령 확인을 위해 신분증을 제출한 사용자는 실제 주소가 위험에 처할 수 있으므로 특히 취약합니다.
사용자가 다음에 해야 할 일
디스코드로부터 이 사건에 관한 이메일을 받은 경우 세부 사항을 주의 깊게 검토하세요. 디스코드 비밀번호를 변경하고 아직 설정하지 않았다면 2단계 인증을 활성화하세요. 특히 디스코드에 청구 정보가 연결된 경우 금융 계정에서 의심스러운 활동을 모니터링하세요. 침해를 언급할 수 있는 피싱 시도에 특히 주의하세요. 신분증 사진이 노출된 사용자는 신용 파일에 사기 경고를 등록하고 신원 도용을 관련 당국에 신고하는 것을 고려하세요. 디스코드는 계속해서 법 집행 기관과 협력하고 있지만, 개인의 경계가 잠재적 피해를 완화하는 데 중요합니다.